Sensibiliser pour renforcer la chaîne de cyberdéfense
L’hameçonnage reste la méthode prévalente dans 41% des cas pour débuter une cyberattaque (rapport IBM X-Force 2023), démontrant si besoin en était que l’humain reste l’éternel maillon faible de la chaîne de cyberdéfense. Cette notion de chaîne est clé : on comprend aisément qu’il suffit qu’un seul maillon du dispositif cède pour qu’une cyberattaque réussisse. L’utilisation de terminaux personnels à des fins professionnelles est un exemple typique des risques liés aux comportements des utilisateurs… Si l’on considère les trois éléments clés d’une transformation (« Personnes – Processus – Technologie »), cette notion de chaîne est valable pour tous les humains impliqués dans l’« entreprise étendue », c’est-à-dire partenaires et fournisseurs inclus, pour les technologies et processus mis en place. Or, l’analyse des données montrent que les humains sont plus sujets à erreurs que les technologies ou les processus de l’entreprise.
La sensibilisation est donc une dimension essentielle et nécessite l’engagement de la direction : les fameux tests d’hameçonnage peuvent être réalisés de manière récurrente, en analysant l’évolution de la performance dans le temps, par typologie de personnes, par direction, y compris la performance des membres du comité exécutif et des sous-traitants. « Pas de progrès sans mesure », comme le souligne Laurence Breton-Kueny, la DRH de l’AFNOR et Vice-Présidente de l’ANDRH, qui rappelle que la direction générale a fixé avec le comité de direction, un objectif de baisser de 25% par an le nombre d’employés piégés par les campagnes d’hameçonnage simulées. La membre du comité exécutif s’attache également à proposer un module de sensibilisation dans le cadre du processus d’intégration des nouveaux embauchés, positionnant ainsi la cybersécurité comme un élément de la culture AFNOR.
Des méthodes créatives et une diversité de supports pour solliciter différentes formes d’intelligence sont utiles : par exemple, le Campus Cyber français a annoncé une mini-série. Le recours aux jeux est également largement prisé et apprécié des utilisateurs.
Comment cibler les efforts et maximiser leur impact ?
Si la sensibilisation permet de susciter l’intérêt et de rendre les directions et employés réceptifs, il est nécessaire de former les populations critiques pour qu’elles développent les aptitudes nécessaires. Au premier rang de ces populations sensibles se trouvent les cadres et dirigeants qui, bien que représentant moins de 10% de l’effectif, comptent pour 50% des risques d’attaques graves (Proofpoint, 2022). D’une manière générale, tous les utilisateurs du SI ayant des accès dits « privilégiés » sont ciblés en priorité : les administrateurs de bases de données qui peuvent accéder directement aux tables par exemple. Pour Michel Van Den Berghe, le président du Campus cyber, c’est d’abord la place critique qu’a prise le numérique dans le fonctionnement de l’organisation qui est à expliquer : « la sensibilisation la plus importante n’est pas liée à la cyber, mais à la dépendance qu'ont les PME au numérique », qui ne réalisent pas encore que sans numérique « leur entreprise ne peut plus fonctionner ». Jean-Paul Mazoyer élargit le périmètre de sensibilisation à l’entreprise étendue, incluant les clients et fournisseurs stratégiques de l’entreprise.
Pour créer de nouveaux réflexes, les approches d’apprentissage expérientiel qui engagent la mémoire procédurale, tels que les exercices d’immersion et de simulation ont un impact particulièrement fort sur tout type d’audiences, car ils créent des émotions qui remettent en cause nos habitudes et nos automatismes. La mémoire procédurale est inconsciente, mais surtout à long terme. Parmi les réflexes clés à développer : connaître spontanément les actions à suivre si un collaborateur a un doute après avoir cliqué sur un lien suspect. Laurence Breton-Kueny conseille : « ne vous cachez surtout pas, vous prévenez tout de suite le système de sécurité » avec un bouton « phishing » prévu à cet effet. « Ça m’est arrivé deux fois qu’on me fasse arrêter l’ordinateur. Je n’avais pas ouvert l’e-mail, donc il a été détruit. On a appris comment réagir » précise-t-elle. Encore une fois, la culture est clé et en l’occurrence le « droit à l’erreur », pour que les employés n’hésitent pas à demander de l’aide immédiatement.
« C’est la raison pour laquelle quand vous avez un hameçonnage, la personne concernée n'est pas au courant, vous ne dites pas qui a ouvert l’e-mail qui a mis votre système à terre », « ça peut arriver à tout le monde », constate la DHR de l’AFNOR.
Comme pour tout programme, il s’agit d’un effort continu. Les efforts ponctuels s’avèrent à faible impact : la sensibilisation et la formation doivent s’inscrire dans le cadre du programme cyber, avec le suivi de la performance, l’ajustement des actions en fonction des progrès des populations ciblées, mais aussi avec la mise à jour des contenus en fonction de l’évolution de la nature des risques cyber qui menacent l’organisation.
Actions à considérer par les directions
- Incorporer les objectifs et progrès continus en matière de sensibilisation dans les métriques clés à piloter
- Varier les supports de sensibilisation, pousser la créativité et « gamifier » pour plus d’impact
- Construire des modules spécifiquement destinés aux cibles critiques, s’appuyant largement sur l’apprentissage expérientiel
- Former le comex et le conseil d’administration de manière expérientielle, récurrente et faciliter l’accès informel à l’expertise cyber interne et externe